我們剛剛註冊了comcast業務,有5個靜態IP,並且有一個內部專用網路。我們是一家小型企業,我希望我們可以購買一個路由器/防火牆,它只允許我指定一些外部 IP/連接埠“對”,並將它們路由到內部 IP/連接埠“對”。
我們的舊 T1 數據機(netopia)可以輕鬆做到這一點,我認為這不會是一個問題。現在我正在網上查看防火牆等,但我似乎找不到可以輕鬆做到這一點的東西。有人可以推薦一個簡單的(希望不是太貴)的解決方案嗎?
答案1
不久前,我解決了類似的情況,將一台小型 Linux 伺服器設定為 Comcast 路由器後面的橋接防火牆 - 兩個網路卡,一個直接連接到路由器,另一個連接到我的內部網路。這樣我就能夠在 Comcast 路由器完成 NAT 後過濾流量,而無需執行另一個 NAT 步驟。
這是關於在 Debian 下設置橋接防火牆的好文檔,但是任何主要發行版都應該具有您需要的模組和工具:http://www.annahegedus.com/tutorials/60-bridge-firewall
答案2
您需要一個能夠執行一對一 NAT 的防火牆。為此,我使用 Watchguard XTM 2 和 3 設備。您不會公開所有端口,因為它是一個由兩部分組成的過程。第一部分是設定 SNAT,即公用到私有。然後,您必須建立一條防火牆規則來指定哪些流量可以穿越該 SNAT 規則。例如,此方案對於全部需要服務 80/443 的多個伺服器非常有用。
如果您有一台伺服器需要服務 80/443,另一台伺服器需要服務 FTP,則您可以只使用一個公用 IP 設定 NAT 規則來為兩台內部伺服器提供服務,因為連接埠不同。
答案3
根據您的要求,您可以使用從低端家庭辦公室產品到高端企業產品的任何產品來滿足您的需求。實際上有數千種產品可以滿足您的需求,並且所有產品都有自己的粉絲群。最好的選擇是計算產品的預算,然後看看你能買得起什麼。我個人是 Watchguard 產品線的粉絲,特別是對於您,我可能會推薦 XTM3 產品,但這可能超出您的預算。
答案4
我遇到了同樣的問題,但事實證明有一個解決方案。本文對我來說是缺失的環節。事實證明這非常簡單,而調變解調器完全可以做到這一點。
關鍵是康卡斯特在LAN側(即內部網路)分配靜態IP,而不是WAN側。因此,請向 Comcast 詢問您的靜態 IP 區塊是什麼,然後使用路由器的 IP 和子網路遮罩來配置您想要在此 IP 上的計算機,並使用路由器的 IP 作為該計算機的網關設定。
然後,如果您需要防火牆,您所要做的就是在「防火牆」->「連接埠配置」->「真實靜態 IP 連接埠管理」下設定防火牆規則。或者,如果您不需要,請選取第一個防火牆頁面上的「僅對真正靜態 IP 子網路停用防火牆」方塊。
看文章了解更多詳細資訊和螢幕截圖。